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Beschreibung 

[0001] Die Erfindung betrifft eine Anordnung fur ein Sicherheitsmodul, gemaG der im Oberbeggriff des Anspruchs 1 
angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere fur derun Einsatz in einer 

5 Frankiermaschine bzw. Postbearbeitungsmaschine Oder Computer mit Postbearbeitungsfunktion ggeeignet 

[0002] Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte Therm otransfsfer-F ran kiermasch in e, 
setzen eine vollelektronische digitale Druckvorrichtung ein. Damit ist es prinzipiell mGglich, t beliebige Texte und 
Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder ein einer Kostertnstelle zugeordnetes 
Werbeklischee zu drucken. So hat zum Beispiel die Frankiermaschine T1000 der Anmelderin eieinen Mikroprozessor, 
welcher von einem gesicherten Gehause umgeben ist, das eine Offnung fur die Zufuhrung eines s Briefes aufweist Bei 

10 einer Briefzufuhrung ubermittert ein mechanischer Briefsensor (Mikroschalter) ein Druckanfordderungssignal an den 
Mikroprozessor. Der Fran kierabd ruck beinhaltet eine zuvor eingegebene und gespeicherte postaliilische Information zur 
Befcrderung des Briefes. Die Steuereinheit der Frankiermaschine nimmt eine Abrechnung softwar«remafiig vor, ubt eine 
Uberwachungsfunktion ggf. bezuglich der Bedingungen for eine Datenaktualisierung aus und st6teuert das Nachladen 
eines Portwertguthabens. 

[0003] Fur die oben genannte Thermotransfer-Frankiermaschine wurde bereits in US 5,606,5008 (DE 42 13 278 B1 ) 

15 und in US 5,490,077 eine Dateneingabemoglichkeit mittels Chipkarten vorgeschlagen. Eine der ( Chipkarten ladt neue 
Daten in die Frankiermaschine und ein Satz an weiteren Chipkarten gestattet durch das Steckenn einer Chipkarte eine 
Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das Datenladen und cdie Einstellung der 
Frankiermaschine kann damit bequemer und schneller als per Tastatureingabe erfolgen. Eine Fr : rankiermaschine zum 
Frankieren von Postgut, ist mit einem Drucker zum Drucken des Postwertstempels auf das PostgutJt, mit einer Steuerung 
zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, mit einer / Abrecheneinheit zum 

20 Abrechnen von Postgebuhren, mit mindestens einem nichtfluchtigen Speicher zum Speichern vonn Postgebuhrendaten, 
mit mindestens einem nichtflQchtigen Speicher zum Speichern von sicherheitsrelevanten DOaten und mit einer 
Kalender/Uhr ausgestattet Der nichttluchtige Speicher der sicherheitsrelevanten Daten und/odder die Kalender/Uhr 
wird gewChnlich von einer Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherferheitsrelevante Daten 
(kryptografische SchlQssel u.a.) in nichtflQchtigen Speichern gesichert Diese Speicher sind EEEPROM, FRAM Oder 

25 batteriegesicherte SRAM. Bekannte Frankiermaschinen verfugen oft auch Qber eine interne Eclchtzeituhr (Real Time 
Clock) RTC, die von einer Batterie gespeist wird. Bekannt sind z.B. vergossene Module, die intrtegrierte Schaltkreise 
und eine Lithium-Batterie enthalten. Diese Module mussen nach Ablauf der Lebensdauer der r Batterie im Ganzen 
ausgetauscht und entsorgt werden. Aus wirtschaftlichen und okologischen Gesichtspunkten ist ess gunstiger, wenn nur 
die Batterie ausgetauscht werden muG. Dazu muS jedoch das Sicherheitsgehause geOffnet und i anschlieSend wieder 
verschlossen und gesiegelt werden, denn die Sicherheit gegenuber Betrugsversuchen beruht im VWVesentlichen auf dem 

30 gesicherten Gehause, welches die gesamte Maschine umschliefJt. 

[0004] Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits ein geeiggnetes Verfahren zur 
Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen, in welchem zwischen einersm authorisierten und 
unauthorisierten Offnen des Sicherheitsgehauses unterschieden wird. 

[0005] Eine eventuell erfordertiche Reparatur einer Frankiermaschine ist dann vor Ort nur sochwer mOglich, wenn 
der Zugang zu den Bauteilen erschwert Oder eingeschrankt ist. Bei grGSeren Postverarbeitutungsmaschinen oder 

35 sogenannten PC-Fran kierern wird zukunftig das gesicherte Gehause auf das sogenannte postaliscche Sicherheitsmodul 
reduziert werden, was die Zuganglichkeit zu den ubrigen Bauteile verbessern kann. Zum wirtschalaftlichen Austauschen 
der Batterie des Sicherheitsmoduls ware es aufierdem wunschenswert, daG sich diese auf relalativ einfachem Wege 
auswechseln lafct. Dann wurde sich die Batterie aber auBerhalb des Sicherheitsbereichs deter Frankiermaschine 
befinden. Wenn die Batteriektemmen aber von au(3en zuganglich gemacht werden, ist ein mdgliclicher Angreifer in der 

40 Lage, die Batteriespannung zu manipulieren. Bekannte batteriegespeiste SRAM's und RTC'C's haben bzgl. ihrer 
geforderten Betriebsspannung unterschiedliche Anforderungen. Die notwendige Spannung zum HHatten von Daten von 
SRAM's liegt unterhalb der geforderten Spannung zum Betrieb von RTC's. DaS bedeutet, datea ein Verringern der 
Spannung unter einen bestimmten Grenzwert zu einem unerwunschten Verhalten der Komponeenten fuhrt: Die RTC 
bleibt stehen, die Uhrzeit - gespeichert in SRAM-Zellen - und die Speicherinhalte des SRAAM bleiben erhalten. 
Wenigstens eine der Sicherheitsma&nahmen, beispielsweise Long Time Watchdogs, warren dann auf der 

45 Frankiermaschinenseite unwirksam. Unter Long Time Watchdogs wird folgendes verstannden: Die entfernte 
Datenzentrale gibt einen Zeitkredit bzw. eine Zeitdauer, insbesondere eine Anzahl von Tagen, odder einen bestimmten 
Tag vor, bis zu welchem sich die Frankiereinrichtung per Kommunikationsverbindung melden solbll. Nach Erschbpfung. 
des Zeitkredits oder Fristablauf wird das Frankieren verhindert. Unter dem Titei: Verfahren i und Anordnung zur 
Erzeugung und Uberprufung eines Sich erheitsabdru ekes wurde bereits in der EP 660 270 A22 (US 5,680,463) ein 
Verfahren vorgeschlagen, die voraussichtiiche Zeitdauer bis zur nachsten Guthabennachladungg zu ermittein, wobei 

50 seitens einer Datenzentrale diejenige Frankiermaschine als suspekt gilt welche sich nichtit fristgemaU meldet. 
Suspekte Frankiermaschinen werden der PbstbehOrde mitgeteilt, welche den Poststrom nnach von suspekten 
Frankiermaschinen frankierten Briefen Oberwacht Ein Ablauf des Zeitkredits oder der Frist wird t bereits auch von der 
Frankiereinrichtung ermittett und der Benutzer wird aufgefordert die uberfailige Kommunikation durcchzufuhren. 
[0006] Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen her bereits btoekannt Zum Schutz 
vor Einbruch in eine elektronische Anlage wird in EP 417 447 B1 bereits eine Sperre voorgeschlagen, welche 

55 Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittei im Gehause umfaOtt Das Abschirmmittel 
besteht aus Einkapselungsmaterial und Leitungsmitteln, an welchen die Stromversorgungs- und SBignalerfassungsmittel 
angeschlossen sind. Letzteres reagiert auf eine VerSnderung des Leitungswiderstandes des Leitumngsmittels. Auflerdem 
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enthait das Sicherheitsmodul eine interne Batterie, einen Spannungsumsch alter von S^ystemspannung auf 
Batteriespannung und weltere Funktionseinheiten (wie Power Gate, Kurzschlulitransistor, Speicicher und Sensoren). 
Wenn die Spannung eine bestimmte Grenze unterschreitet, reagiert das Power Gate. Wenn der Leieitungswiderstand, die 
Temperatur Oder die Strahlung verandert ist, reagiert die Logik. Mittels des Power Gate Oder rrmittels der Logik wird 
der Ausgang des Kurzschlufttransistor auf L-Pegel umgeschaltet, wodurch ein im Spoeicher gespeicherter 

5 krypto graph ischer Schlussel geloscht wird. Jedoch ist die Lebensdauer der nicht auswechselbareen Batterie und damit 
des Sicherheitsmoduls fur den Einsatz in Fran kiereinrichtun gen bzw. Postverarbeitungsmaschinen n zu klein. 
[0007] Eine grdfJere Postverarbeitungsmaschine ist beispielsweise die JetMail®. Ein Fraiankierdruck wird hier 
mittels einem stationar angeordneten Tintenstrahldruckkopf bei einem nichtwaagerechten aannahernd vertikalen 
Brieftransport erzeugt. Eine geeignete Ausfuhrung fur eine Druckvorrichtung wurde bereits in dersr DE 196 05 015 C1 

10 vorgeschlagen. Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soli das Meter r mit einem Gehause 
ausgestattet werden, so daS Bauteile leichter zuganglich sind, dann muR es durch ein postaliscrthes Sicherheitsmodul 
vor Betrugsversuchen geschOtzt werden, welches mindestens das Abrechnen der Postgebuhhren durchfOhrt. Urn 
Einflusse auf den Programmverlauf auszuschiie&en, wurde bereits in der EP 789 333 A22 vorgeschlagen, ein 
Sicherheitsmodul mit einer Anwenderschaltung (ASIC) auszustatten, die eine Hardware-Abrechereneinheit aufweist Die 
Anwenderschaltung (ASIC) steuert aulierdem die Druckdatenubertragung zum Druckkopf. 

15 [0008] Letzteres ware nur dann nicht erforderlich, wenn far jedes Poststuck einzigartigge Abdrucke erzeugt 
werden. Ein Verfahren und Anordnung zur schnellen Erzeugung eines Sicherheitsabdruckes ist t beispielsweise in den 
US 5,680,463, US 5,712,916 und US 5,734,723 vorgeschlagen worden. Dabei vwird eine spezielle 
Sicherheitsmarkierung elektronisch generiert und in das Druckbild eingebettet 

[0009] Weitere Mafinahmen zum Schutz eines Sicherheitsmodul vor einem Angriff auf die i in ihm gespeicherten 
Daten wurden auch in den nicht vorverdffentlichten deutschen Anmeldungen 198 16 572.2 2 und 198 16 571.4 

20 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Strom verbrauch und ein nichtit standig von einer 
Systemspannung versorgter Sicherheitsmodul zieht dann den fur die Sensoren benotigten Stromm aus seiner internen 
Batterie, was letztere ebenfalls fruhzeitig erschopft Die Kapazitat der Batterie und der Stromverbrbrauch beschranken 
somit die Lebensdauer eines Sicherheitsmoduls. Wurden aber die Batterieanschlufiklemmen vcon auSen zuganglich 
gemacht werden, urn die Lebensdauer der Batterie zu erhdhen, bestunde eine Angriffsmeglichskikeit auf die Sicherheit 

25 der postalischen Daten durch einen Betruger. 

^ [0010] Das nicht durch eine Systemspannung versorgte Sicherheitsmodul kdnnte dann i Qber die von auUen 
zuganglichen Batteriekontakte manipuliert werden, indem die Spannung unter die fur den Pr^rozessor spezrflzierte 
Grenzspannung verringert wird. Wenn der Prozessor mit einem internen Uhren-RAM (RTC) ausggestattet ist, bleibt die 
Uhr zuerst stehen. Bei Erhflhung der Spannung wurde die interne Uhr (RTC) wieder weiterlaufen.n. Beim Anlegen einer 
Impulsspannung mit Impulsweiten-modulation mufi sichergestelft sein, daS die Batteriespannnung nicht unter die 

30 spezifizierte Grenze sinken kann, oberhalb derer die Speicherinhalte erhalten bleiben sollen. . Bei einer unter die 
Grenze herunter gehenden Spannungsverringerung mufi dieser Zustand nachweisbar solange aufnfrechterhalten werden 
bis ein anderer zuiassiger Zustand gultig ist. Grundsatzlich ist eine Abschatzung des Angreifeferpotentiais bzw. der 
Angreiferklassen erforderlich, urn mit geeigneten, vom Aufwand her angemessenen, Mafcnahmnen den erwQnschten 
Sicherheitslevel zu erreichen. Dabei gilt das Motto: "So viel wie ntftig, so wenig wie moglich". I Mit einer geeigneten 
Schaltung muft also die Manipilationsmdglichkeit mindestens eingeschrankt werden. 

35 [0011] Der Erfindung liegt die Aufgabe zugrunde, die Sicherheit vor einer unbefugtenn Manipulation eines 
Sicherheitsmoduls zu gewahrteisten, wenn die Batterie austauschbar angeordnet ist. 
[0012] Die Aufgabe wird mit den Merkmalen des Anspruchs 1 geldst. 

[0013] Ein postalisches Gerat, insbesondere eine Frankiermaschine, wird mit einem steckbararen Sicherheitsmodul 
ausgestattet welches mit dem Systembus des Meters bzw. einer anderen geeigneten Steuereinricichtung verbunden ist. 
40 Bei einem gestecktem Sicherheitsmodul, welches zum Servicezeitpunkt von einer Systemspannunng versorgt wird, kann 
die Batterie des Sicherheitsmoduls von einem Servicetechniker ausgewechselt werden. Das Siclcherheitsmodul ist mit 
einer harten Masse vergossen. Fur einen Batteriewechsel bzw. Entsorgung ist die Batterie jeedoch aufterhalb der 
Vergufimasse angeordnet. 

[0014] ErfindungsgemaS weist das Sicherheitsmodul eine Spannungsuberwachungseinhaeit mit rQcksetzbarer 
Selbsthattung auf, die vom Prozessor a bgefragt und zuruckgesetzt werden kann. Die Uberwachungg der Spannung einer 

45 Batterie, die fur die batteriegestutzten RAM-Speicher und zur Funktion einer internen Uhr erfcforderlich ist, hat das 
Ziel, beim Unterschreiten eines bestimmten Spannungspegels Aktionen auszulCsen, die zum Ldschen von 
sicherheitsrelevanten Daten und der aktuellen Uhrzeit fuhren. Die Selbsthattung gestattetet den Zustand der 
Spannungsunterschreitung solange zu konservieren, bis ein sicherer Nachweis mGglich istst Letzteres ist erst 
nachtraglich der Fall, wenn das Modul wieder mit Systemspannung versorgt wird. Ein Inspektctor Oder eine andere 
authorisierte Person, die geeignete Eingaben an der Tastatur der Frankiereinrichtung e ausfuhrt, kann den 

50 ursprGnglichen Zustand wiederherstellen. 

[0015] Die Vorteile neben der Veriangerung der Lebensdauer des Sicherheitsmoduls durcrvh die Mdglichkeit des 
Batteriewechsels, liegen in einem geringen Strom verbrauch der Schaltung trotz einer schrhnellen Reaktion auf 
Spannungsanderungen und einer Verhinderung einer Mrttelwert-bildung bei einer Manipulation rrmit Rechteckimpulsen 
an den Batterieanschlussen. 

55 [0016] Vorteilhafte Weiterbildungen der Erfindung sind in den Unteranspruchen gekennzeeichnet bzw. werden 
nachstehend zusammen mit der Beschreibung der bevorzugten Ausfuhrung der Erfindung anhannd der Figuren naher 
dargestellt. Es zeigen: 
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Figur 1, Blockbild und Interface des Sicherheitsmoduls, 



Figur 2, Blockschaltbild der Frankiermaschine, 

Figur 3, Perspektivische Ansicht der Frankiermaschine von hinten, 

Figur 4, Blockschaltbild des Sicherheitsmoduls (zweite Variante), 

Figur 5, Schattbild der Spannungsuberwachungseinheit, 
10 Figur 6, Seitenansicht des Sicherheitsmoduls, 

Figur 7, Draufsicht auf das Sicherheitsmodul, 

Figur 8a, Ansicht des Sicherheitsmoduls von rechts, 
15 Figur 8b, Ansicht des Sicherheitsmoduls von links. 

[0017] In der Figur 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den Kontaktgruppen 101)1, 102 zum AnschluG 
an ein Interface 8 sowie mit den Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces f fur eine Batterie 134 
dargesteltt. Obwohl das Sicherheitsmodul 100 mit einer harten VerguGmasse vergossen ist, ist < die Batterie 134 des 

20 Sicherheitsmoduls 100 auGerhalb der VerguGmasse auf einer Leiterplatte auswechselbar angeorordnet. Die Leiterplatte 
tragt die Batteriekontaktklemmen 103 und 104 fur den AnschluG der Pole der Batterie 134. Mittelsfs der Kontaktgruppen 
101, 102 wird das Sicherheitsmodul 100 an ein entsprechendes Interface 8 der Hauptplatine (Motttherboard) 9 gesteckt 
Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuereinrichtung in Kommunikation-nsverbindung und die 
zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspamnnung. Uber die Pins 

25 P3.P5-P19 der Kontaktgruppe 101 laufen AdreG-und Datenleitungen 117, 118 sowie Steuerteituxingen 115. Die erste 

" ' und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen und dynamischensn Oberwachung des 
Angestecktseins des Sicherheitsmoduls 100 ausgebildet. Uber die Pins P23 und P25 der Kontaktjctgruppe 102 wird die 
Versorgung des Sicherheitsmodul 100 mit der Systemspannung der Hauptplatine 9 realisiert und d uber die Pins P1, P2 
bzw. P4 wird eine dynamische und statische Ungestecktsein-Detektion durch das Sicherheitsmodulul 100 realisiert. 
[0018] Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen Mikroprozessor 120 D auf, der einen - nicht 

30 gezeigten - integrierten Festwertspeicher (internal ROM) mit dem speziellen Anwendungsprogramnm enthait, was fiir die 
Frankiermaschine von der PostbehSrde bzw. vom jeweiligen Postbeforderer zugelassen ist. Attdternativ kann an den 
modulinternen Datenbus 126 ein ublicher Festwertspeicher ROM Oder FLASH-Speicher angeschloossen werden. 
Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine Reset-Schaltungs<seinheit 130, einen 
Anwenderschaltkreis ASIC 150 und eine Logik PAL 160 auf, die far den ASIC als Steuersignaalgenerator dient. Die 
Reset-Schaftungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und die Logik PAL 160 sowwie eventuell weitere - 

35 nicht gezeigte - Speicher werden uber die Leitungen 191 bzw. 129 mit Systemspannung Us+ - versorgt, welche bei 
eingeschalteter Frankiereinrichtung von der Hauptplatine 9 geliefert wird. 

In der EP 789 33 A2 wurden bereits die wesentlichen Teile eines postalischen Sicherheitsmodduls PSM dargestelllt, 
welche die Funktionen Abrechnen und Absichern der Postgebuhrendaten realisieren. 

[0019] Die Systemspannung Us+ liegt auGerdem uber eine Diode 181 und die Leitung 1136 am Eingang der 
Spannungsuberwachungseinheit 12 an. Am Ausgang der Spannungsuberwachungseinheit 1 12 wird eine zweite 
Betriebsspannung geliefert, welche uber die Leitung 138 zur Verfugung steht I Bei ausgeschalteter 

Frankiereinrichtung steht nicht die Systemspannung Us+, sondern nur die Batteriespannung Ub+)+ zur Verfugung. Die 
am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse verbunden. Von der am poosrtiven Pol liegenden 
Batteriekontaktklemme 103 wird Batteriespannung uber eine Leitung 193, uber eine zweite Diode e 182 und die Leitung 
136 an den Eingang der Spannungsuberwachungseinheit geliefert. Alternativzu den beiden DiodeJen 181, 182 kann ein 
45 handelsublicher Schaltkreis als Spannungsumschalter 180 eingesetzt werden. 

[0020] Der Ausgang der Spannungsuberwachungseinheit 12 ist uber eine Leitung 138 mit einoem Eingang fur diese 
zweite Betriebsspannung des Prozessors 120 verbunden, welcher mindestens auf einen RRAM-Speicherbereich 
122, 124 fOhrt und dort eine nichtfluchtige Speicherung solange garantiert, wie die zweite Betriebssspannung in der 
erforderlichen HGhe anliegt. Der Prozessor 120 enthait vorzugsweise einen internen RAM 124 i und eine Echtzeituhr 
(RTC) 122. 

50 [0021] Die Spannungsuberwachungseinheit 12 im Sicherheitsmodul 100 weist eine ruckse.etzbare Selbsthaltung 
auf, die vom Prozessor 120 uber eine Leitung 164 abgefragt und uber eine Leitung 1 35 zuruckgessetzt werden kann. Fur 
eine Rucksetzung der Selbsthaltung weist die SpannungsOberwachungseinheit 12 Schaltungsismittel auf, wobei die 
Rucksetzung erst aus!6sbar ist, wenn die Batteriespannung uber die vorbestimmte Schwelle • angestiegen ist. Die 
rucksetzbare Selbsthaltung wird spater anhand der Figur 5 naher erlautert. 

55 [0022] Die Leitungen 135 and 164 sind je mit einem AnschluG (Pin1 und 2) des Prozessorss 120 verbunden. Die 
Leitung 164 liefert ein Statussignal an den Prozessor 120 und die Leitung 135 liefert ein Steuersignal an die 
Spannungsuberwachungseinheit 12. 

[0023] Die Leitung 136 am Eingang der Spannungsuberwchungseinheit 12 versorgt zugleleich eine Detektions- 
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Einhelt 13 mit Betriebs- oder Batteriespannung. Vom Prozessor 120 wird der Zustand der Detekiktions-Einheit 13 Qber 
die Leitung 139 abgefragt oder die Detektions-Einheit 13 wird vom Prozessor 120 Qber die Leitunpg 137 ausgelost bzw. 
gesetzt. Nach dem Setzen wird eine statische Prufung auf AnschluS durchgefOhrt. Dazu wird libber eine Leitung 192 
Massepotential abgefragt, welches am AnschluS P4 des Interfaces 8 des postalischen Sicherheieitsmoduls PSM 100 
anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemaS gesteckt : ist. Bei gesteckten 
5 Sicherheitsmodul 100 wird Massepotential des negativen Pols 104 der Batterie 134 des postalischaen Sicherheitsmoduls 
PSM 100 auf den AnschluS P23 des Interfaces 8 gelegt und ist somit am AnschluS P4 des Interfacces 8 Qber die Leitung 
192 von der Detektions-Einheit 13 abfragbar. 

[0024] An den Pins 6 und 7 des Prozessors 120 liegt eine Leitungsschleife, welche uber diee Pins P1 und P2 der 
Kontaktgruppe 102 des Interfaces 8 zum Prozessor 120 zuruckgeschlerft wird. Zur dynaminischen Prufung des 
10 Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 am Motherbord 9 werden i vom Prozessor 120 
wechselnde Signalpegel in ganz unregelmaSigen Zeitabstanden an die Pin's 6, 7 angelegt unnd Qber die Schleife 
zuruckgeschleift 

[0025] Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit it einer Chipkarten- 

Schreib/Leseeinheit 70 zum Nachladen von Anderungsdaten per Chipkarte und mit einer Druckeeinrichtung 2, welche 
von einer Steuereinrichtung 1 gesteuert wird, ausgestattet ist Die Steuereinrichtung 1 wweist ein mit einem 

15 Mikroprozessor 91 mit zugehdrigen Speichern 92, 93, 94, 95 ausgestattetes Motherboard 9 auf. 

[0026] Der Programmspeicher 92 enthalt ein Betriebsprogramm mindestens zum Dructeken und wenigstens 
sicherheitsrelevante Bestandteile des Programms fur eine vorbestimmte Format-Anderung eines TfeWs der Nutzdaten. 
Der Arbeitsspeicher RAM 93 dient zur fluchtigen Zwischenspeicherung von Zwischenergebnisseen. Der nichtfluchtige 
Speicher NVM 94 dient zur nichtfluchtigen Zwischenspeicherung von Daten, beispielsweise von ststatistischen Daten, die 
nach Kostenstellen geordnet sind. Der Kalender/Uhrenbaustein 95 enthalt ebenfalls adressierbarare aber nichtfluchtige 

20 Speicherbereiche zur nichtfluchtigen Zwischenspeicherung von Zwischenergebnissen odder auch bekannten 
Programmteilen (beispielsweise fur den DES-AIgorithmus). Es ist vorgesehen, daS die Steuere'einrichtung 1 mit der 
Chipkarten-Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der Steuereinrichtntung 1 beispielsweise 
dazu programmiert ist, die Nutzdaten N aus dem Speicherbereich einer Chipkarte 49 zu dderen Anwendung in 
entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in einen Einsteckschlitzz 72 der Chipkarten- 
Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines I Datensatzes in die 
Frankiermaschine fur mindestens eine Anwendung. Die Chipkarte 49 enthalt beispielsweise die PPortogebuhren fur alie 
ublichen Postbefordererleistungen entsprechend des Tarifs der Postbehdrde und ein Postbeforddererkennzeichen, urn 
mit der Frankiermaschine ein Stempelbild zugenerieren und entsprechend des Tarifs der Postbebhorde die PoststOcke 
freizustempeln. 

[0027] Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 995 der vorgenannten 
30 Hauptplatine 9 und umfaSt auch eine Tastatur 88, eine Anzeigeeinheit 89 sowie einen anw#vendungsspezifischen 
Schaltkreis ASIC 90 und das Interface 8 fur das postalische Sicherheitsmodul PSM 100. Das Si&cherheitsmodul PSM 
100 ist uber einen Steuerbus mit dem vorgenannten ASIC 90 und dem Mikroprozessor 91 sowieie Qber den parallelen 
uC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 und der mit Anzeigeeinheit it 89 verbunden. Der 
Steuerbus fuhrt Leitungen fur die Signale CE, RD und WR zwischen dem Sicherheits-modul I PSM 100 und dem 
vorgenannten ASIC 90. Der Mikroprozessor 91 weist vorzugsweise einen Pin fur ein vom Sicherrrheitsmodul PSM 100 
35 abgegebenes Interruptsignal i, weitere Anschlusse fur die Tastatur 88, eine serielle Schnitittstelle SI-1 fur den 
AnschluS der Chipkarten-Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 fur den < optionalen AnschluS 
eines MODEMs auf. Mittels des MODEMS kann beispielsweise das im nichtfluchtigen Speicrrher des postalischen 
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhdht werden. 

[0028] Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten Gehause umsischlossen. Vor jedem 
Frankierabdruck wird im postalischen Sicherheitsmodul PSM 100 eine hardwaremaSige Abrechnu ung durchgefOhrt. Die 
Abrechnung erfolgt unabhangig von Kostenstellen. Das postalische Sicherheitsmittel PSM 1100 kann intern so 
ausgefuhrt sein, wie in der europaischen Anmeldung EP 789 333 A3 naher beschrieben wurde. 

[0029] Es ist vorgesehen, daS der ASIC 90 eine serielle Schnittstellenschaltung 98 zu i einem im Poststrom 
vorschalteten Gerat eine serielle Schnittstellenschaltung 96 zu den Sensoren und Aktoren der* Druckeinrichtung 2, 
eine serielle Schnittstellenschaltung 97 zur Drucksteuerelektronik 16 fOr den Druckkopf '4 und eine serielle 

45 Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten GeerSt aufweist. Der DE 
197 11 997 ist eine AusfQhrungsvariante fur die Peripherieschnittstelle entnehmbar, wwelche fur mehrere 
Peripheriegerate (Stationen) geeignet ist. Sie tragt den Titel: Anordnung zur Kommunikatation zwischen einer 
Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschattungg. 
[0030] Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschineranbasis befindlichen 

Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 unnd zu den Aktoren, 

50 beispielsweise zum Antriebsmotor 15 fur die Walze 11 und zu einer Reinigungs- und Dichtstatation RDS 40 fur den 
Tintenstrahldruckkopf 4, sowie zum Labelgeber 50 in der Maschinenbasis her. Die prinzipielle / Anordnung und das 
Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 sind der DE 197 26 642 C2 e entnehmbar, mit dem 
Titel: Anordnung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtatvorrichtung. 
[0031] Einer der in der Fuhrungsplatte 20 angeordneten Sensoren 7, 17 ist der Senscor 17 und dient zur 

55 Vorbereitung der Druckauslbsung beim Brieftransport. Der Sensor 7 dient zur Briefanfang:gserkennung zwecks 
Druckauslosung beim Brieftransport. Die Transporteinrichtung besteht aus einem Transportband I 10 und zwei Walzen 
11,11'. Eine der Walzen ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine anderere ist die mitlaufende 
Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgefuhrt, entspreechend ist auch das 
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Transportband 10 als Zahnriemen ausgefQhrt, was die eindeutige Kraftubertragung sichert. Ein i Encoder 5, 6 ist mit 
einer der Walzen 11, 11' gekoppelt Vorzugsweise srtzt die Antriebswalze 11 mit einem Inkremeientalgeber 5 fest auf 
einer Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe ausgefQhrt, die mit eieiner Lichtschranke 6 
zusammen wirkt, und gibt Qber die Leitung 19 ein Encodersignal an das Motherboard 9 ab. 

[0032] Es ist vorgesehen, dad die einzelnen Druckelemente des Druckkopfes innerhalb seiness Gehauses mit einer 
5 Druckkopfelektronik verbunden sind und da(i der Druckkopf fur einen rein elektronischen Druckk ansteuerbar ist Die 
Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewahlte Stempelversatz berOckfcsichtigt wird, welcher 
per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtfluchtig g gespeichert wird. Ein 
geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbbild und gegebenfalls 
weiteren Druckbildern fur Werbeklischee, Versandinformationen (Wahldrucke) und zusatatzlichen edrtierbaren 
Mitteilungen. Der nichtflOchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. CDarunter sind solche, 
welche die geladenen Portogebuhrentabellen nichtfluchtig speichern. 

[0033] Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehGrigen mechanisschen Tracer fQr die 
Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Haltererung der Chipkarte in 
Lese-Position und eindeutige Signallsierung des Erreichens der Leseposition der Chipkarte in der 
Kontaktierungseinheit. Die Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einprogranimmierte Lesefahigkert 
15 fur alie Arten von Speicherkarten bzw. Chipkarten. Das Interface zur Frankiermaschinine ist eine senelle 
Schnittstelle gematt RS232-Standard. Die Datenubertragungsrate betragt min. 1,2 K Baud. C Das Einschalten der 
Stromversorgung erfolgt mittels einem an der Hauptplatine angeschlossenen Schalter 71. N*Jach Einschalten der 
Stromversorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung. 

[0034] In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von hininten dargestellt. Die 
Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer ChipkartennvSchreib/ Leseeinheit 

20 70 ausgestattet die hinter der Fuhrungsplatte 20 angeordnet und von der Gehauseoberkante 22 2 zuganglich ist Nach 
dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von obeien nach unten in den 
Einsteckschlitz 72 eingesteckt Ein zugefQhrter auf der Kante stehender Brief 3, der mit seinoer zu bedruckenden 
Oberflache an der Fuhrungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einemm Frankierstempel 31 
bedruckt Die BrietzufQhrOffnung wird durch eine Klarsichtplatte 21 und die Fuhrungsplatte 20 s sertJich begrenzt Die 
Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten Sicherhertsmoduls 100 ist voron auBen durch eine 

25 Offnung 109sichtbar. . . . • 

[0035] Die Figur 4 zeigt ein Blockschaltbild des postalischen Sicherhertsmoduls PSM 100 i in einer bevorzugten 
Variante Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgrupppe 102 gejegt ^Der 
positive Pol der Batterie 134 ist Qber die Leitung 193 mit dem einen Eingang des Spannungsumsischarters 180 und die 
Systemspannung fuhrende Leitung 191 ist mit dem anderen Eingang des Spannungsumschaltersrs 180 verbunden. Als 

30 Batterie 134 eignet sich der Typ SL-389/P fOr eine Lebensdauer bis zu 3,5 Jahren oder der Ty yp SL-386/P Wr eine 
Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Sppannungsumscharter 
180 kann ein handelsublicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des 
Spannungsumschalters 180 liegt Qber die Leitung 136 an der BatterieQberwachungseiainhert 12 und der 
Detektionseinheit 13 an. Die BatterieOberwachungseinhert 12 und die Detektionseinhert 13 steherm mrt den Pinsi, z t 4 
und 5 des Prozessors 120 Qber die Leitungen 135, 164 und 137, 139 in Kommunikationsverbinndung. Der Ausgang 

35 des Spannungsumschalters 180 liegt Qber die Leitung 136 au&erdem am Verso rgungsein gang emines ersten Speichers 
SRAM an der durch die vorhandene Batterie 134 zum nichtflQchtigen Speicher NVRAM einer ersteien Technology wird. 
Das Sicherheitsmodul steht mit der Frankiermaschine Qber den Systembus 1 15, 1 17, 118 in Verbinndung. Der Prozessor 
120 kann Qber den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entftfernten Datenzentrale 
eintreten. Die Abrechnung wird vom ASIC 150 vollzogen. Die postalischen Abrechnungsdaten wercrden in nichtfluchtigen 
Speichern unterschiedlicher Technologie gespeichert. 

40 Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt Systemspannung an. Hierbeei handelt es sich urn 
einen nichtflQchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese i zweiten Technologie 
umfaBt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei SyststemspannungsausfaH 
automatisch Qbernimmt Der NVRAM 114 der zweiten Technologie ist mit den entsprechtienden Adress- und 
DateneingSngen des ASIC's 1 50 Ober einen internen Adrefc- und Datenbus 1 1 2, 1 1 3 verbunden. 

[0036] Der ASIC 150 enthaft mindestens eine Hardware-Abrecheneinheit fQr die Berechnung 3 der zu speichernden 
postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASICIC 150 untergebracht 
Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein AdreR- und Steuerbus 1 17, 1 15 von c der Hauptplatine 9 ist 
an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestensis ein Steuersignal fur 
das ASIC 150 und ein Steuersignal 119 fQr den Program mspeicher FLASH 128. Der Prozes«sor 120 arbertet ein 
Programm ab das im FLASH 128 gespeichert ist Der Prozessor 120, FLASH 28, ASIC 150 unad PAL 160 sind uber 
50 einen modulinternen Systembus miteinander verbunden, der Leitungen 110,111,126,119 fQr Daten-, AdreB- und 
Steuersignale enthalt. 

[0037] Die RESET-Einheit 130 ist Qber die Leitung 131 mit dem Pin 3 des Prozessors 120 unnd mit einem Pin des 
ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorggungsspannung durch 
eine Resetgenerierung in der RESET-Einheit 130 zuruckgesetzt 

[0038] An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, welche nnur bei einem an die 
55 Hauptplatine 9 gesteckten PSM 100 eine Leiterschleife 18 bilden. 

[0039] Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannmung Qber die Leitung 
138 versorgt Diese Spannung wird von der Spannungsuberwachungseinheit (Battery Observer) 12 erzeugt. Letzterer 
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liefert aufterdem ein Statussignal 164 und reagiert auf ein Steuersignal 135. Der Spannungsumoischalter 180 gibt als 
Ausgangsspannung auf der Leitung 136 fur die Spannungsuberwachungseinheit 12 und Speichenr 116 diejenige seiner 
Eingangsspannungen weiter, die grdfter als die andere ist 

[0040] Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr r RTC 122 eine RAM- 
Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf. An den Pins 8 und 9 liegen l/O-Ports der Ein//yAusgabe-Einheit 125, 

5 an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdiooden LED's 107, 108, 
welche den Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule kGnnen inn ihrem Lebenszyklus 
verschiedene Zustande einnehmen. So muft z.B. detektiert werden, ob das Modul gultige kryptotografische Schlussel 
enthatt. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defektrt ist Die genaue Art 
und Anzahl der Modulzustande ist von den realisierten Funktionen im Modul und von der Implemen ntierung abhangig. 

10 [0041] Der Prozessor 120 des Sicherheitsmoduls 100 ist uber einen modulinternen Datersnbus 126 mit einem 
FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 dient als Programmspoeicher und wird mit 
Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher vom Typ AAM29F010-45EC. Der 
ASIC 150 des postalischen Sicherheitsmoduls 100 liefert uber einen modulinternen Adreftbus 1 10 D die Adressen 0 bis 7 
an die entsprechenden Adrefteingange des FLASH 128. Der Prozessor 120 des Sicherheitsmooduls 100 liefert iiber 
einen internen Adreftbus 111 die Adressen 8 bis 15 an die entsprechenden Adresseingange des Fl r LASH 128. Der ASIC 

15 150 des Sicherheitsmoduls 100 steht uber die Kontaktgruppe 101 des Interfaces 8 mit dem Datatenbus 118, mit dem 
Adreftbus 1 17 und dem Steuerbus 1 15 der Hauptplatine 9 in Kommunikationsverbindung. 

[0042] Durch die Mdglichkeit, die beschriebene Schaltung in Abhangigkeit von der H6he der SSpannungen Us+ und 
Ub+ automatisch mit der grofteren von beiden zu speisen, kann wahrend des Normalbetriebs didie Batterie 134 ohne 
Datenveriust gewechselt werden. 

[0043] Die Batterie der Frankiermaschine speist in den Ruhezeiten aufterhalb des Normalbetritriebes in vorerwahnter 
20 Weise die Echtzeituhr 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAftM (SRAM) 124, der 
sicherheitsrelevante Daten halt. Sinkt die Spannung der Batterie wahrend des Batteriebetriebs uunter eine bestimmte 
Grenze, so wird von der im Ausfuhrungsbeispiel beschriebenen Schaltung der Speisepunkt fur r RTC und SRAM mit 
Masse verbunden. D.h. die Spannung an der RTC und am SRAM liegt dann bei 0V. Das fiihrt ddazu, daft der SRAM 
124, der z.B. wichtige kryptogratlsche SchlQssel enthait,. sehr schnell geloscht wird. Gleichzeteitig werden auch die 
25 Register der RTC 122 geloscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verlorenji. Durch diese Aktion 
wird verhindert, daft ein moglicher Angreifer durch Manipulation der Batteriespannung die franhkiermaschineninterne 
Uhr 122 anhait, ohne daft sicherheitsrelevante Daten vertoren gehen. Somit wird » verhindert, daft er 
Sicherheitsmaftnahmen, wie beispielsweise Long Time Watchdogs umgeht. 

[0044] Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die beschnriebene Schaltung in 
einen Selbsthaltezustand, in dem sie auch bei nachtraglicher ErhOhung der Spannung bleleibt. Beim nachsten 
30 Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) I) und damit und/oder 
Uber die Auswertung der Inhalte des geloschten Speichers darauf schlieften, daft die Batteriespannnung zwischenzeitlich 
einen bestimmten Wert unterschritten hat. Der Prozessor kann die Oberwachungsschaltung zuriiclcksetzen, d.h. "scharf" 
machen. 

[0045] Anhand der Figur 5 wird das Schaltbild der Spannungsuberwachungseinheit (Batterieoobserver) 12 eriautert. 
Die Schaltung wird durch die Batteriespannung auf der Leitung 136 versorgt. Im Normalzustand isist ein Transistor 1252 
35 gesperrt und Ober den Widerstand 1254 wird die Batteriespannung auf der Leitung 138 als BSetriebsspannung far 
die Echtzeituhr RTC 122 bzw. Speicher RAM 124 zur Verfugung gestellt Die Leitung 138 ist die 3 Speiseleitung for die 
RTC 122 und den RAM 124. 

[0046] Es ist vorgesehen, daft die Spannungsuberwachungseinheit 12 einen Spannun : ngsteiler 1242, 1244 
zwischen der Leitung 136 und Masse enthait, der einen Abgriff 1246 aufweist, daft am Abggriff der invertierende 

40 Eingang eines Komparators 1250, eines der Schaltungsmittel 1258 fQr die Selbsthaltung und einess der Schaltungsmittel 
1260 for eine Rucksetzung der Selbsthaltung angeschlossen ist Der Ausgang des Komparators -s 1250 ist uber einen 
Negator 1252, 1254 einerseits mit der Leitung 138 und andererseits mit dem anderen Schaltunyigsmittel 1256 fur die 
Selbsthaltung verbunden. Letzteres ist eine Diode, welche L-Pegel auf den Abgriff zuruckkoppelt :. Der Spannungsteiler 
besteht aus zwei Widerstanden 1242 und 1244 und einem Kondensator 1272, der zwischenm Abgriff und Masse 
geschaltet ist Der Abzweig 1246 am Verknupfungspunkt der zwei Widerstande 1242 unad 1244 ist auf den 

45 invertierenden Eingang eines Komparators 1250 geschaltet. Der nichtinvertierende Eingang des KKomparators 1250 ist 
an eine Referenzspannungquelle 1248 geschaltet Der Ausgang des Komparators 1250 ist aufjf den Steuereingang 
eines Transistors 1252 gefuhrt, welcher mit Masse verbunden und mit einem an der Leitung 136 lidiegenden Widerstand 
1254 verbunden ist, d.h. als Negator geschaltet ist Der Ausgang des Negators 1252, 1254 ist mit it der Leitung 138 und 
dem n-Gebiet der Diode 1256 verbunden, deren p-Gebiet Uber einen Widerstand 1258 mit : dem Abzweig 1246 
verbunden ist. Zwischen der Leitung 136 und dem Abzeig 1246 ist parallel zum Widerstand 1242 t ein zweiter Transistor 

50 1260 geschaltet dessen Steuereingang mit der Leitung 135 verbunden ist 

Die Batteriespannung auf der Leitung 136 wird von einem Spannungsteiler, der aus zwei Widerstaranden 1242 und 1244 
und einem Kondensator 1272 besteht, verringert und von einem Komparator 1250 mit der Re!eferenzspannung der 
Referenzspannungsquelle 1248 verglichen. Ist die zu vergleichende Spannung auf dem Abzweigg 1246 kleiner als die 
Referenzspannung, so erhait der Transistor 1252 an seinem Steuereingang H-Pegel und wwird durchgeschaltet. 
Dadurch wird die Leitung 138 mit Massepotential verbunden und die RTC 122 und der RAM 124 wwerden nicht mehr mit 

55 der Batteriespannung versorgt. Das fuhrt dazu, daft die Register der RTC 122 und die Daten inim RAM 124 geloscht 
werden und die RTC 122 stehen bleibt 

[0047] Da die Leitung 138 jetzt mit Masse verbunden ist, wird gleichzeitig uber die DDiode 1256 und den 
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Widerstand 1258 die zu vergleichende Spannung am Abgriff 1246 auf einen Wert nahe 0 V gezogejen. Dadurch wechselt 
die Uberwachungsschaltung 12 in einen Selbsthaltezustand, in dem sie auch bei Erhflhung deler Spannung auf der 
Leitung 136 bleibt und die Leitung 138 auf Massepotential laBt Durch diesen Zustand der Schaltuiung 12 wird uber eine 
Entkopplungsdiode 1262 ein L-Signal auf die Leitung 164 gelegt, welches vom Prozessor 120 abpgefragt werden kann. 
Die Entkopplungsdiode 1262 dient der Verringerung des Stromverbrauchs im Batteriebetrieb. Denr Prozessor 120 kann 

5 die Uberwachungsschaltung 12 zurucksetzen. Dazu wird uber die Leitung 135 ein H-Rucksetzsigmnal auf den Transistor 
1260 gegeben, welcher durchgeschaltet wird, Somit wird die Spannung am Abzweig 1246 uber didie Referenzspannung 
angehoben, der Komparator 1250 schaltet zurOck und der Transistor 1252 wird gesperrt. Als Kon>mparator 1250 eignet 
sich der Typ ICL7665SAIBA. Eine Diode 1268 entkoppelt die Versorgungsspannung fur den Kompiparator 1250 von der 
Batteriespannung. Ein Elektrolytkondensator 1270 sorgt dafur, daB der Komparator 1250 ubenr einen relativ langen 
Zeitraum (> 2 s) mit der Versorgungsspannung versorgt wird, bei der dessen Funktion gewahrteleistet ist, obwohl die 

10 Batteriespannung auf der Leitung 136 abgeschaltet wurde. Die Schaltung 12 ist so dimensicioniert, daB jegliches 
Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte Schwelle von 2,6 V zzum Ansprechen der 
Schaltung 12f0hrt. 

[0048] Die Figur 6 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls in i Seitenansicht. Das 
Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet, d.h. mehrere Funktionseinheiten sind z auf einer Leiterplatte 

is 106 verschaltet Das Sicherheitsmodul 100 ist mit einer harten VerguBmasse 105 vergossen, wcvobei die Batterie 134 
des Sicherheitsmoduls 100 auBerhalb der VerguBmasse 105 auf einer Leiterplatte 106 auswechsiselbar angeordnet ist 
Beispielsweise ist es so mit einem VerguBmaterial 105 vergossen, daB Signalmitte! 107, 108 aus 3 dem VerguBmaterial 
an einer ersten Stelle herausragen und daB die Leiterplatte 106 mit der gesteckten Batteri'rie 134 seitlich einer 
zweiten Stelle herausragt Die Leiterplatte 106 hat auBerdem Batteriekontaktklemmen 103 und 1(104 for den AnschluB 
der Pole der Batterie 134, vorzugsweise auf der Bestuckungsseite oberhalb der Leiterplatte 10©6. Es ist vorgesehen, 

20 daB zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine 3 des Meters 1 die 
Kontaktgruppen 101 und 102 unterhaib der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmooduls 100 angeordnet 
sind. Der Anwenderschaltkreis ASIC 150 steht uber die erste Kontaktgruppe 101 - in nicht gezeigigter Weise - mit dem 
Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgrgruppe 102 dient der 
Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Wird das Sicherheitsmodul ; auf die Hauptplatine 
gesteckt, dann ist es vorzugsweise innerhalb des Metergehauses dergestalt angeordnet, so daB c das Signalmittel 107, 

25 1 08 nahe einer 6ffnung 109 ist oder in diese hineinragt. Das Metergehause ist damit vorteilhaftft so konstruiert, daB 
der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von auBen sehen kann. Die beidden Leuchtdioden 107 
und 108 des Signalmittels werden uber zwei Ausgangssignale der l/O-Ports an den Pin 8, 9 » des Prozessors 120 
gesteuert. Beide Leuchtdioden sind in einem gemeinsamen Bauelementegehause untergebracht t (Bicolorleuchtdiode), 
weshalb die AbmaBe bzw. der Durchmesser der Offnung relativ klein bleiben kann und in der r GroBenordnung des 
Signalmittels liegt Prinzipiell sind drei unterschiedliche Farben darstellbar (rot, grun, orangge), von denen aber 

30 nur zwei benutzt werden (rot und grun). Zur Zustandsunterscheidung werden die LED's auch blintokend benutzt, so daB 
verschiedene Zustandsgruppen unterschieden werden kdnnen, die beispielsweise durch folggende LED-Zustande 
charakterisiert werden: LED aus, LED rot blmkend, LED rot, LED grun blinkend, LED grun. Inn der Figur 7 ist eine 
Draufsicht auf das postalische Sicherheitsmodul dargestelft. Die Figuren 8a bzw. 8b zeigeen eine Ansicht des 
Sicherheitsmoduls jeweils von rechts bzw. von links. Die Lage der Kontaktgruppen 101 undd 102 unterhaib der 

35 Leiterplatte 106 wird aus den Figuren 8a und 8b in Verbindung mit Figur 6 deutiich. 

[0049] ErfindungsgemaB ist das postalische Gerat, insbesondere eine Frankiermaschincie, jedoch kann das 
Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermdgiicht, daB es beispielsweise e auf das Motherbord 
eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen handelsublichen Druacker ansteuert. 
[0050] Die Erfindung ist nicht auf die voriiegenden Ausfuhrungsform beschrankt, da offensiclchtlich weitere andere 
Anordnungen bzw. Ausfuhrungen der Erfindung entwickelt bzw. eingesetzt werden konnen, , die - vom gleichen 

^0 Grundgedanken der Erfindung ausgehend - von den anliegenden Anspruchen umfaBt werden. 

PatentansprUche 

1. Anordnung for einen Sicherheitsmodul, mit mindestens einer Funktionseinheit (120), mit einoer Batterie (134) und 
Mitteln zur Versorgung mit einer Systemspannung und mit einem Spannungsumschalter (180) o der Ober eine Leitung 
45 (136) mit einer SpannungsOberwachungseinheit (12) verbunden ist, welche uber eine i Leitung (138) eine 

Betriebsspannung an einen Speicher (122, 124) abgibt, gekennzeichnet dadurch, daftB die Batterie (134) 
auswechselbar auf dem Sicherheitsmodul (100) angeordnet ist, daB die Spannungsuberwwachungseinheit (12) 
Schaltungsmittel (1256, 1258, 1260) fur eine rucksetzbare Selbsthaltung aufweist, woboei die Selbsthaltung 
ausge!6st wird, wenn die Batteriespannung unter eine vorbestimmte Schwelle sinkt. 

50 2. Anordnung, nach Anspruch 1, gekennzeichnet dadurch, daB die Spannungsuberwachhungseinheit (12) als 
Schaltungsmittel eine Leitung (135) und ein Schaltmittel (1260) for eine RQcksetzung der Seielbsthaltung aufweist, 
wobei die RQcksetzung erst auslflsbar ist, wenn die Batteriespannung uber die vorbestimmte ScSchwelle gestiegen ist. 

3. Anordnung, nach den Anspruchen 1 bis 2, gekennzeichnet dadurch, daB die Spannungsisuberwachungseinheit 
(12) einen Spannungsteiler (1242, 1244) zwischen der Leitung (136) und Masse enthalt, denr einen Abgriff (1246) 
55 aufweist, daB am Abgriff der invertierende Eingang eines Komparators (1250), eines der Scbhaltungsmittel (1258) 

fur die Selbsthaltung und das Schaltmittel (1260) fur eine RQcksetzung der Selbsthaltung aringeschlossen ist und 
daB der Ausgang des Komparators (1250) Qber einen Negator (1252, 1254) einerseits mit dder Leitung (138) und 
andererseits mit dem anderen Schaltungsmittel (1256) fur die Selbsthaltung verbunden ist 
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4. Anordnung, nach Anspruch 3, gekennzeichnet dadurch, dafi das andere Schaltungigsmittel (1256) der 
Selbsthaltung eine Diode ist. 

5. Anordnung, nach Anspruch 3, gekennzeichnet dadurch, dafi der nichtinvertierende Eingarang des ^Comparators 
(1250) mit einer Referenzspannungsquelle (1248) verbunden ist. 

6. Anordnung, nach Anspruch 3, gekennzeichnet dadurch, dafi der Zustand der Selbsthaltumng uber eine Leitung 
(164) von einem Prozessor (120) des Sicherheitsmoduls (100) abfragbar ist. 

7. Anordnung, nach den Anspruchen 1 bis 6, gekennzeichnet dadurch, daft der Prozessor (120P) Speicher (122, 124) 
aufweist, an welche uber die Leitung (138) eine Betriebsspannung von der Spannungsuberwwachungseinheit (12) 
gefuhrt wird dafi der Prozessor (120) mit Systemspannung versorgt wird und einen ersten PPinl aufweist, urn den 
Zustand der Selbsthaltung uber eine Leitung (135) zuriickzusetzen und einen zweiten Pin2 a aufweist, an welchem 
die Leitung (164) angeschlossen ist, urn den Zustand der Spannungsuberwachungseinheit (122) abzufragen, ob sie 
auf Betriebspannungsabgabe oder auf Selbsthaltung geschaltet ist 

8. Anordnung nach Anspruch 7, gekennzeichnet dadurch, dafi das Sicherheitsrrmodul (100) einen 
Anwenderschaltkreis ASIC (150) aufweist und dafi der Prozessor (120) uber einen modulinterarnen Datenbus (126) 
mit dem Anwenderschaltkreis ASIC (150) verbunden ist, wobei letzterer uber eine erste Kontitaktgruppe (101) mit 
dem Systembus einer Steuereinrichtung (1) in Kommunikationsverbindung steht. 

9 Anordnung nach Anspruch 1, gekennzeichnet dadurch, daS das Sicherheitsmodul (1000) mit einer harten 
VerguGmasse (105) vergossen ist, da& die Batterie (134) des Sicherheitsmoduls (100) auSerhaalb der VerguSmasse 
(105) auf einer Leiterplatte (106) auswechselbar angeordnet ist, da& die Leittiterplatte (106) die 
Batteriekontaktklemmen (103 und 104) fur den Anschlufc der Pole der Batterie (134) und eine zzweite Kontaktgruppe 
(102) zur Versorgung des Sicherheitsmoduls (100) mit der Systemspannung aufweist. 
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